Beliebte Messaging-App JusTalk hinterließ eine riesige Datenbank unverschlüsselter privater Nachrichten, die monatelang ohne Passwort öffentlich im Internet zugänglich waren.
Die Messaging-App hat rund 20 Millionen internationale Nutzer, während Google Play auflistet JusTalk-Kinderdas als kinderfreundliche Version seiner Messaging-App angekündigt wird, hat über 1 Million Android-Downloads verzeichnet.
JusTalk sagt, dass beide Messaging-Apps Ende-zu-Ende verschlüsselt sind und rühmt sich auf seiner Website, dass „nur Sie und die Person, mit der Sie kommunizieren, sie sehen, lesen oder anhören können: Selbst das JusTalk-Team wird nicht auf Ihre Daten zugreifen!“
Aber das stimmt nicht. Eine Protokollierungsdatenbank, die das Unternehmen zur Verfolgung von Bugs und Fehlern mit den Apps verwendet, wurde laut Sicherheitsforscher ohne Passwort im Internet gelassen Anurag Sender die exponierte Datenbank fand und Tech um Hilfe bei der Meldung des Fehlers an das Unternehmen bat.
Auf die Datenbank und die darin enthaltenen Hunderte von Gigabyte an Daten – die auf einem von Huawei gehosteten Cloud-Server in China gehostet werden – konnte über den Webbrowser zugegriffen werden, indem nur seine IP-Adresse bekannt war. Shodan, eine Suchmaschine für exponierte Geräte und Datenbanken, zeigt, dass der Server seit mindestens Anfang Januar, als die Datenbank zum ersten Mal exponiert wurde, kontinuierlich die Protokolle des letzten Monats gespeichert hat.
Kurz nachdem wir gemeldet hatten, dass die App nicht wie vom Unternehmen behauptet Ende-zu-Ende verschlüsselt war, wurde die Datenbank abgeschaltet.
Juphoon, das in China ansässige Cloud-Unternehmen hinter der Messaging-App, sagt auf seiner Website, dass es JusTalk im Jahr 2016 ausgegliedert hat und nun im Besitz von Ningbo Jus ist, einem Unternehmen, das dies anscheinend tut Teilen dasselbe Büro wie auf der Website von Juphoon aufgeführt.
Leo Lv, CEO von Juphoon und Gründer von JusTalk, öffnete unsere E-Mails, antwortete aber nicht oder sagte, ob das Unternehmen vorhatte, Benutzer über die Sicherheitslücke zu informieren.
Da die Daten des Servers mit Protokollen und anderen computerlesbaren Daten verflochten waren, ist nicht genau bekannt, wie viele Personen ihre privaten Nachrichten durch die Sicherheitslücke offengelegt hatten.
Der Server sammelte und speicherte jeden Tag mehr als 10 Millionen einzelne Protokolle, darunter Millionen von Nachrichten, die über die App gesendet wurden, einschließlich der Telefonnummern des Absenders, des Empfängers und der Nachricht selbst. Die Datenbank protokollierte auch alle getätigten Anrufe, die die Telefonnummern des Anrufers und des Empfängers in jedem Datensatz enthielten.
Da jede in der Datenbank aufgezeichnete Nachricht alle Telefonnummern im selben Chat enthielt, war es möglich, ganze Gespräche zu verfolgen, einschließlich von Kindern, die die JusTalk Kids-App zum Chatten mit ihren Eltern verwendeten. Eine Gesprächskette enthielt genügend persönliche Informationen, um einen Pastor zu identifizieren, der die App benutzte, um eine Sexarbeiterin anzuwerben, die ihre Telefonnummer öffentlich für ihre Dienste auflistet, einschließlich Zeit, Ort und Preis ihres Treffens.
Keine der Nachrichten war verschlüsselt, trotz der Behauptungen von JusTalk.
Wir haben auch zuvor berichtet, dass die Datenbank auch detaillierte Standortdaten von Tausenden von Benutzern enthält, die von den Telefonen der Benutzer gesammelt wurden, mit großen Benutzerclustern in den USA, Großbritannien, Indien, Saudi-Arabien, Thailand und dem chinesischen Festland. Die Datenbank enthielt auch Aufzeichnungen einer dritten App, Zweite JusTalk-Telefonnummer, das es Benutzern ermöglicht, virtuelle, kurzlebige Telefonnummern zu generieren, die sie verwenden können, anstatt ihre private Handynummer preiszugeben. Eine Überprüfung einiger dieser Aufzeichnungen zeigt, dass die Datenbank sowohl die Handynummer der Person als auch jede von ihr generierte kurzlebige Telefonnummer protokolliert hat.
Aber Tech fand Beweise dafür, dass Sen nicht allein war, als er die exponierte Datenbank fand.
Eine undatierte Lösegeldforderung, die in der Datenbank hinterlassen wurde, deutet darauf hin, dass mindestens einmal von einem Datenerpresser darauf zugegriffen wurde, einem schlechten Akteur, der das Internet nach exponierten Datenbanken durchsucht, um sie zu stehlen und mit der Veröffentlichung der Daten zu drohen, es sei denn, ein Lösegeld von ein paar Hundert Dollar im Wert von Kryptowährung bezahlt werden.
Es ist nicht bekannt, ob aufgrund des Zugriffs des Erpressers JusTalk-Daten verloren gegangen oder gestohlen wurden, aber die mit der Lösegeldforderung verknüpfte Blockchain-Adresse zeigt, dass noch kein Geld eingegangen ist.